Атака на уязвимость сервера Poodlebleed Bug Украина ☎ +380672576220 

☎ +380443834054
☎ +380672576220
Ukrainian Symantec Partner
Ukrainian DigiCert Partner
Контакты
Справочные материалы по безопасности в интернет
SSL, Code Signin, Email, PDF, Word... сертификаты

Переход на сайт по продаже сертификатов SSL и подписи кода документов почты CSR
pKey
Установка
SSL
Цепочка
SSL
Проверка
SSL
Seal
SSL
Экспорт-Импорт
Конвертер
Code Sign
сертификаты
Email Smime
сертификаты
PDF и Word
сертификаты
База
знаний

Разное о сертификатах RSA алгоритм
DSA алгоритм
ECC алгоритм
SHA-2 хеш алгоритм

Журнал прозрачности сертификатов
OCSP респондер сертификатов
CAA запись в DNS домена
Отзыв сертификата
Intermal Names проблема
SNI - Server Name Indication
Протокол с сервером HSTS
Серверные и Клиентские серты
Обзор основ криптографии
Проблемы поля Common Name
Зачем нужны Центры сертификации
Проблемы новых доменов
Риски промежуточных сертификатов
Безопасность мобильных устройств
Технология DANE
Проверка подлинности сайта
Если ваш сайт взломали
Для владальцев Апача


Уязвимость Drown - лечение
Уязвимость Logjam - лечение
Уязвимость Venom - лечение
Уязвимость Heartbleed - лечение
Уязвимость Poodlebleed - лечение
Уязвимость вашего компьютера

Руководство по SSL для начинающих
Экскурсия по SSL сертификатам
SSL и жизнь-проблемы и радости
SSL путеводитель по сертификатам
Поля сертификата от Windows
SSL краткая история
SSL на всех сайтах
Google и SSL взаимная любовь
Покупка в инет магазине
Доверие как бизнес
Классы SSL сертификатов
Standart, SAN и Wildcard серты
Самоподписанные сертификаты
EV сертфиикаты зеленые
DV сертификаты для домена
Фейковые SSL сертификаты

CA Map

We are an Authorized Reseller for DigiCert™ SSL a WebTrust Certified
SSL Certificate Authority.

Уязвимость Poodlebleed

Poodlebleed является уязвимостью в разработке SSL версии 3.0. Пудель на самом деле является аббревиатурой для Padding Oracle On Downgraded Legacy Encryption. Уязвимость позволяет расшифровать открытый текст защищенных соединений. Обнаружена ошибка, обнаруженная исследователем группы безопасности Google Бодо Мёллером в сотрудничестве с тайцами Дуонгом и Кшиштофом Котовичем.

Хотя SSL 3.0 почти 15 лет, многие серверы и веб-браузеры все еще используют его сегодня. Когда веб-браузеры не могут подключиться к новой версии SSL (т. Е. TLS 1.0, 1.1 или 1.2), они могут вернуться к соединению SSL 3.0. Здесь начинается проблема. Поскольку сетевой злоумышленник может вызвать сбои подключения, в том числе отказ от подключений TLS 1.0 / 1.1 / 1.2, они могут принудительно использовать SSL 3.0, а затем использовать ошибку пуделя, чтобы расшифровать безопасный контент, передаваемый между сервером и браузером.

Клиенты и браузеры
Для лучшей защиты браузера на стороне клиента рекомендуется полностью отключить SSL 3.0. Отключение поддержки SSL 3.0 или шифров CBC с SSL 3.0 достаточно для смягчения этой проблемы, однако это представляет значительные проблемы совместимости для серверов, на которых установлены старые протоколы шифрования. Поэтому рекомендуемый ответ заключается в поддержке TLS_FALLBACK_SCSV. Большинство основных браузеров будут поддерживать TLS_FALLBACK_SCSV в ближайшие месяцы. До тех пор вы можете защитить себя, отключив поддержку SSL 3.0 в своем браузере.
* В firefox это можно сделать, перейдя к: config и установив security.tls.version.min в 1

Если ваш браузер в настоящее время поддерживает SSL 3.0 или SSL 2.0 и не поддерживает TLS_FALLBACK_SCSV, вы уязвимы для ошибки пуделя и должны обновиться до Google Chrome или отключить поддержку SSL 2/3. В настоящее время только версия Google Chrome 33.0.1750 (февраль 2014 г.) и новее поддерживает TLS_FALLBACK_SCSV, все другие браузеры безопаснее отключать SSL 3.0.

Сервер
Следующая форма может использоваться для проверки работоспособности сервера с включенным SSL 3.0. Хотя отключение SSL 3.0 может привести к неудачным подключениям к вашей службе ssl для небольшой части пользователей, работающих с более старыми браузерами, это действие предотвращает подслушивание большого количества современных браузеров при попытке доступа к вашим службам безопасным образом.

Как эта ошибка получила свое название?
Фактическая атака - это атака оскорбления на основе шифрования CBC (шифрование блокировки блока), которая может утечка данных злоумышленнику - поэтому почему эта уязвимость SSL запоминается именем POODLE (заполнение Oracle на пониженном устаревшем шифровании). Атаки оскорбления padding - это особая атака на зашифрованные данные, которая использует «отступы» для утечки информации из зашифрованного канала. Это похоже на старые методы атаки Lucky Thirteen и BEAST, которые были раскрыты за последние пару лет. Следует отметить, что уязвимость POODLE не влияет на отдельные сертификаты SSL, и клиентам не нужно их заменять.

Как работает атака?
Атака требует, чтобы человек-в-середине заставлял соединение клиента и сервера возвращаться к SSL v3.0. Как клиент, так и сервер должны поддерживать SSLv3.0, но это обычный по умолчанию для большинства серверов и веб-браузеров. После того, как соединение было понижено до SSLv3.0, атака работает с вышеупомянутой известной слабостью шифрования CBC, которая может утечка данных злоумышленнику. При попытке атаки злоумышленник будет вставлять себя в сеанс, используя код JavaScript, введенный в веб-браузер клиента, либо используя недостаток браузера, заставляя пользователя вредоносной веб-страницы, либо используя уязвимость межсайтового скриптинга. Опять же, это тот самый метод, который используется BEAST, и это не всегда успешно. Существует ряд переменных.

Каково влияние на пользователя?
Атака обычно используется для утечки информации cookie сеанса, чтобы захватить зашифрованную сессию жертвы на защищенный сайт «HTTPS»

Как пользователи или организации могут защитить себя?
Патч для этой уязвимости отсутствует, и единственный способ предотвратить эту уязвимость - полностью отключить SSL v3.0. На данный момент мы не видели доказательств концепции (PoC), воспользовавшихся этим недостатком, хотя, несомненно, люди участвуют в гонках, чтобы их сделать и опубликовать. Активных атак не обнаружено, но этот тип клиента, атака «человек в середине» трудно обнаружить. Во всяком случае, пока не будет выпущен стабильный PoC, я сомневаюсь, что будет какая-то серьезная эксплуатация. Даже после этого эксплуатация, скорее всего, будет ограничена общественными сетями, такими как киберкафе и библиотеки.

Кому нужно отключить SSL v3.0? И любые другие советы, чтобы избежать падения жертвы нападения?
Я бы сказал, что все веб-серверы или другие службы, использующие SSL, должны отключить SSL v3.0, если только не существует особой причины для его сохранения. Все современные веб-браузеры способны согласовывать более современный протокол шифрования TLS. Единственным распространенным веб-браузером, который принимает только SSL v3.0, является Internet Explorer 6, который близок к 15 годам. Для веб-админов не имеет смысла рисковать безопасностью всех своих пользователей ради очень небольшого процента старых веб-браузеров. В качестве конечного пользователя большинство веб-браузеров позволяют отключать SSL v3.0 локально из ваших настроек конфигурации. Отключение SSL v3.0 локально определенно будет держать POODLE в страхе.

В отличие от Heartbleed, эта атака не может выполняться напрямую против SSL-серверов. Злоумышленник должен находиться между жертвой и сервером во время активного сеанса, чтобы снять эту атаку - и он атакует данные клиента, а не сам веб-сервер. 


 DV SSL OV Сертификаты подтверждающие только Домен OV SSL OV Сертификаты подтверждающие Домен и Организацию EV SSL EV Зеленые усиленные сертификаты с указанием названия Организации подтверждают Домен и Организацию WC SSL wildcard Сертификаты защищающие все субдомены. Класс DV OV и EV SAN SSL SAN Мульти доменные  сертификаты защищающие несколько FQDN Доменов. Класс DV OV и EV PRO SSL SGC PRO сертификаты с технологией  Server Gated Cryptography. Класс  OV и EV CodeSign Сертификаты для подписи приложений и програмного кода MS, Java. Класс  OV и EV Email Сертификаты для подписи емаил smime. Класс  DV OV PDF Сертификаты для подписи документов PDF. Класс  OV PV Wi-Fi Сертификаты DigiCert для IoT и Wi Fi IoT Сертификаты DigiCert для IIoT ALL Все сертификаты Symantec Familie: Symantec, thawte, GeoTrust, DigiCert Купить сертификат

NO russia - мы не осблуживаем резидентов из россии Copyright © 1997-2018 adgrafics